2. 程式人生 > >Spring Security 梳理 - session

Spring Security 梳理 - session

阿新 發佈:2018-12-01

Spring Security預設的行為是每個登入成功的使用者會新建一個Session。這也就是下面的配置的效果:

<http create-session="ifRequired">...</http>

這貌似沒有問題,但其實對大規模的網站是致命的。使用者越多,新建的session越多,最後的結果是JVM記憶體耗盡,你的web伺服器徹底掛了。有session的另外一個嚴重的問題是scalability能力,使用者壓力上來了不能馬上新建一臺Jetty/Tomcat伺服器,因為要考慮Session同步的問題。 先來看看Session過多導致的Jetty JVM 記憶體耗盡:

 

 

Spring Security 3.1開始支援stateless authentication(具體檢視 What‘s new in Spring Security 3.1?),配置方法是:

<http create-session="stateless">
    <!-- ... --> </http>

主要是在RESTful API,無狀態的web呼叫的stateless authentication。

這個配置的意思是:Spring Security對登入成功的使用者不會建立Session了,你的application也不會允許新建session,而且

Spring Security會跳過所有的 filter chain:HttpSessionSecurityContextRepositorySessionManagementFilterRequestCacheFilter

也就是說每個請求都是無狀態的獨立的,需要被再次認證re-authentication。開銷顯然是增大了,因為每次請求都必須在伺服器端重新認證並建立使用者角色和許可權的上下文。

 

 

Stateless的RESTful authentication認證

剛才說了,配置為stateless的使用場景,例如RESTful api,其每個請求都是無狀態的獨立的,需要被再次認證re-authentication。操作層面,具體做法是:在每一個REST的call的頭header(例如:

@HeaderParam annotation. 例子: @HeaderParam.)都帶user token 和 application ID,然後在伺服器端對每一請求進行re-authentication. (注意:把token放在uri中是糟糕的做法,首先是安全的原因,其次是cache的原因,儘量放在head中)可以寫一個攔截器來實現:

複製程式碼 
@Provider
@ServerInterceptor
public class RestSecurityInterceptor implements PreProcessInterceptor {

    @Override
    public ServerResponse preProcess(HttpRequest request, ResourceMethod method) throws UnauthorizedException { String token = request.getHttpHeaders().getRequestHeader("token").get(0); // user not logged-in? if (checkLoggedIn(token)) { ServerResponse response = new ServerResponse(); response.setStatus(HttpResponseCodes.SC_UNAUTHORIZED); MultivaluedMap<String, Object> headers = new Headers<Object>(); headers.add("Content-Type", "text/plain"); response.setMetadata(headers); response.setEntity("Error 401 Unauthorized: " + request.getPreprocessedPath()); return response; } return null; } }
複製程式碼

Spring Security配置檔案:

複製程式碼 
<security:http realm="Protected API" use-expressions="true" auto-config="false" create-session="stateless" entry-point-ref="CustomAuthenticationEntryPoint"> <security:custom-filter ref="authenticationTokenProcessingFilter" position="FORM_LOGIN_FILTER" /> <security:intercept-url pattern="/authenticate" access="permitAll"/> <security:intercept-url pattern="/**" access="isAuthenticated()" /> </security:http> <bean id="CustomAuthenticationEntryPoint" class="com.demo.api.support.spring.CustomAuthenticationEntryPoint" /> <bean class="com.demo.api.support.spring.AuthenticationTokenProcessingFilter" id="authenticationTokenProcessingFilter"> <constructor-arg ref="authenticationManager" /> </bean>
複製程式碼

CustomAuthenticationEntryPoint:

複製程式碼 
public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException { response.sendError( HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized: Authentication token was either missing or invalid." ); } }
複製程式碼

AuthenticationTokenProcessingFilter:

複製程式碼 
@Autowired UserService userService;
    @Autowired TokenUtils tokenUtils;
    AuthenticationManager authManager;

    public AuthenticationTokenProcessingFilter(AuthenticationManager authManager) {
        this.authManager = authManager;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { @SuppressWarnings("unchecked") Map<String, String[]> parms = request.getParameterMap(); if(parms.containsKey("token")) { String token = parms.get("token")[0]; // grab the first "token" parameter // validate the token if (tokenUtils.validate(token)) { // determine the user based on the (already validated) token UserDetails userDetails = tokenUtils.getUserFromToken(token); // build an Authentication object with the user's info UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails.getUsername(), userDetails.getPassword()); authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails((HttpServletRequest) request)); // set the authentication into the SecurityContext  SecurityContextHolder.getContext().setAuthentication(authManager.authenticate(authentication)); } } // continue thru the filter chain  chain.doFilter(request, response); } }
複製程式碼 
TokenUtils:
複製程式碼 
public interface TokenUtils {
    String getToken(UserDetails userDetails);
    String getToken(UserDetails userDetails, Long expiration);
    boolean validate(String token);
    UserDetails getUserFromToken(String token);
}
複製程式碼 
 

Spring Security其它方面
 

其他的比如concurrent Session,意思是同一個使用者允許同時線上(不同地點)的數量。還有Session劫持的防止, auto-remember等,具體參考這個網頁
 

 
 

 
 

參考:https://www.cnblogs.com/Mainz/p/3230077.html
   
 
 
 
 

            
  

           

              
              

            

            
相關推薦

			   
            
            
            
 

    


    
    
Spring Security 梳理 - session

     
 Spring Security預設的行為是每個登入成功的使用者會新建一個Session。這也就是下面的配置的效果: 
 
 <http create-session="ifRequired">...</http> 
 
這貌似沒有問題,但其實對大規模的網站是致命的。使用者越多,新建的s 



  
 

    


    
    
Spring Security 梳理 - DelegatingFilterProxy

     
 
 可能你會覺得奇怪,我們在web應用中使用Spring Security時只在web.xml檔案中定義瞭如下這樣一個Filter,為什麼你會說是一系列的Filter呢?
 

    
 <filter>
 

        



  
 

    


    
    
spring security(八) session 併發,剔除前一個使用者

     
 
							
							
							解決 session 併發問題 ,同時只有一個使用者線上。 有一個使用者線上後其他的裝置登入此使用者將剔除前一個使用者。強制前一個使用者下線。





1.修改security配置

新增 SessionRegistry,自己管理SessionRegistry 



  
 

    


    
    
Spring SecuritySession中的值和修改userDetails(轉)

     
 
                1.在session中取得spring security的登入使用者名稱如下${session.SPRING_SECURITY_CONTEXT.authentication.principal.username}spring security 把SPRING_SECURITY 



  
 

    


    
    
解決spring-security session超時 Ajax 請求沒有重定向的問題

     
 這樣的   解決   alert   ips   點擊   res   set   登錄頁面   response   開始時, 代碼是這樣的: 

        $.ajax({
            type : "POST",
            url : sSource,
     



  
 

    


    
    
springSecurity的學習筆記--使用spring-Security完成“記住我”,單機session管理,叢集session管理,登出

     
  
 
    今天課外的大部分空餘時間都用來了整理springSecurity練習的筆記。 整理了一部分,還差一些這裡補上! 
 記住我功能要素: 
       springsecurity提供了一個記住我的功能。  它的大致原理是,攔截器檢測是 



  
 

    


    
    
使用thymeleaf+spring security處理csrf時遇到Cannot create a session after the response has been committed

     
 
							
							
							文章目錄
被這個問題折磨了幾個小時,期間懷疑了各種程式碼,但最終還是讓我發現了根本性的原因
spring security中預設csrf是懶載入的,只有在第一次使用_csrf時才會建立session
而thymeleaf頁面的緩衝區滿後,response會在模板 



  
 

    


    
    
Spring Security系列之Session管理(十四)

     
 

 
 
 Session:在計算機中,尤其是在網路應用中,稱為“會話控制”。Session 物件儲存特定使用者會話所需的屬性及配置資訊。這樣,當用戶在應用程式的 Web 頁之間跳轉時,儲存在 Session 物件中的變數將不會丟失,而是在整個使用者會話中一直存在下去。當用戶請求來自應用程式的 Web 頁時 



  
 

    


    
    
spring security 在沒實現session共享的叢集環境下 防止使用者多次登入的 實現思路

     
 
							
							
							背景


專案採用阿里雲負載均衡,基於cookie的會話保持。
沒有實現叢集間的session共享。
專案採用spring security 並且配置了session策略如下:




<bean
                    class="or 



  
 

    


    
    
Spring Security教程之session管理(十一)

     
 利用   開始   必須   出了   攻擊保護   應用   退出   val   coo   1.1     檢測session超時
1.2     concurrency-control
1.3     session 固定攻擊保護
 
       Spring Security通過http元素下的子 



  
 

    


    
    
spring security下開啟csrf,同時支援session.invalidate()呼叫

     
 
                
最近在做的一個java web專案,要求登入介面資訊提交時使用https,登入成功後頁面使用http,同時全站使用csrf防禦。
然後https和http的訪問會分別建立兩個session,csrf的token存在於https建立的session中,當驗證使用者身份通過後, 



  
 

    


    
    
Spring boot 整合Spring Security過程中的出現的關於Session scope的異常排查及解決方案

     
 
							
							
							背景介紹

最近做的一個專案,其一需要用到Spring 的oauth認證功能, 其二需要對spring 的ContextRefreshedEvent 這個事件進行監聽,實現一部分自定義註解的功能(具體功能不作贅述),本來以為毫不相關的兩個功能,卻出現了一些意料之 



  
 

    


    
    
ajax 呼叫後臺 session 過期問題(Spring security

     
 
                

最近在專案中用到了Ajax重新整理頁面上的資料,由於使用了spring security3,所以當session過期後,Ajax呼叫的返回值在error中是設定的登入頁面的html程式碼,查了很多資料,網上的大部分做法是設定security的session managem 



  
 

    


    
    
關於spring security session失效,ajax報錯的解決

     
 
                
      今天發現spring security 儲存的使用者名稱,把一些特殊符號轉義,今天發現通過 reques的方式取到發現下劃線轉移了,這個問題也是無意間看到了。
    關於session失效後,spring security  ajax請求受限的資源會出現,例如 



  
 

    


    
    
別再讓你的微服務裸奔了,基於 Spring Session & Spring Security 微服務許可權控制

     
  
微服務架構
 

閘道器:路由使用者請求到指定服務,轉發前端 Cookie 中包含的 Session 資訊;
使用者服務:使用者登入認證(Authentication),使用者授權(Authority),使用者管理(Redis Session Management)
其他服務:依賴 Redis 中使用者資 



  
 

    


    
    
實戰開發,使用 Spring SessionSpring security 完成網站登入改造!!

     
 上次小黑在文章中介紹了[四種分散式一致性 Session 的實現方式](https://mp.weixin.qq.com/s/8HgFYgrJDC3bi5MY0icJfg),在這四種中最常用的就是後端集中儲存方案,這樣即使 web 應用重啟或者擴容,Session 都沒有丟失的風險。

![](https:/ 



  
 

    


    
    
Spring Security應用開發(04)HTTP basic認證

     
 角色   cati   onf   poi   font   con   prop   ins   mode   Spring Security默認是使用form-login表單認證方式。
 <!-- 默認使用表單認證 -->
 <sec:form-login />
 
Spring  



  
 

    


    
    
使用Spring Security和OAuth2實現RESTful服務安全認證

     
 schema   repo   gradle   nbsp   tps   protect   一個   ndb   lac   這篇教程是展示如何設置一個OAuth2服務來保護REST資源. 源代碼下載github. (https://github.com/iainporter/oauth2-provide 



  
 

    


    
    
[Java][Spring][scurity]同步session控制,防止一個用戶多次登錄

     
 http   art   程序   ava   list   ati   cee   ren   except   

[Spring][scurity]同步session控制。防止一個用戶多次登錄


假設你希望限制單個用戶僅僅能登錄到你的程序一次,Spring Security通過加入以下簡單的部分支持這 



  
 

    


    
    
Spring Security應用開發(11) 並發控制之實踐

     
 nag   line   then   9.png   page   總結   -c   ole   for   本文分別介紹了四種不同情況下,Spring Security的Session管理和並發控制的不同配置的配置方法,以及所產生的效果。
 
(1)首先編寫了session_error.jsp頁面,用於